IEEE 802.1AE(MACsec)は頼もしいセキュリティ

セキュリティ対策をすすめていけば、完全に通信の安全を守る事が出来るようになる日が、いつか来るのでしょうか?

おそらく、人間が存在する限りは、いつまでもそのような日はやってこないような気がします。

出来るだけ、強力なセキュリティ対策を行ったネットワークを利用するしか、手がないのが現状です。

この記事では、これまでよりも根本的な部分での暗号化を行う事により、すくなくとも特定のネットワーク内でのセキュリティ対策としては、かなり強力な効果が期待できる「IEEE 802.1AE(MACsec)」というプロトコルを紹介しています。

これまでのセキュリティ対策は、どちらかというと情報の流出を防ぐ事に主眼を置く方法が多数を占めていましたが、このプロトコルでは、転送されるデータ自体を主役としたセキュリティ対策となります。

 

IEEE 802.1AEとは?

「IEEE(アイトリプルイー) 802.1AE」とは、ネットワークを転送されているフレーム自体を暗号化することで、セキュリティ対策を行う事を目的とした通信プロトコルです。

他に、MACsec(マックセック)とも呼ばれています。

 

この「フレーム」とは、小分けにした転送データの先頭へ、送信先の情報などを追加して一体化したものです。

このフレームを受けとった通信端末の側で、フレームの中にある転送されたデータをつなぎあわせて、元の状態へ戻す事でデータ転送を完了することができます。

 

このフレームをネットワークの外へ漏らしてしまえば、通信端末毎にセキュリティ対策をしていても意味がありません。

また、一度取り出したフレームから送信先などの情報を取り出す事が出来れば、中に有害情報を仕込んだフレームを送信する可能性すらあります。

そこで、このフレームを暗号化する方法として、IEEE 802.1AEの標準化が2006年に完了しました。

その後、2010年には、暗号化する際の鍵を管理するために必要なプロトコル(IEEE 802.1af)も標準化されることにより、いつでも対応した製品を販売できる体制が整いました。

 

IEEE 802.1AEの仕組み

このプロトコルに対応している通信機器(スイッチング・ハブなど)に接続されているパソコンなどの通信端末が、他の端末へデータ通信を行う際には、そのフレームの全てに、後から偽物のフレームでないことを確認するために参照するデータを追加したうえで暗号化します。

そして、暗号化されたフレームを受信したスイッチング・ハブ(IEEE 802.1AEに対応したもの)は、暗号化されたフレームを復元した後で、追加されているデータを確認します。

その段階で、本当に正しい相手から届いたフレームであるかを判断する事が可能です。

もしも、この識別のために追加したデータ(ICV)が存在しないか、内容に問題があるときは、廃棄などの処分を行います。

 

問題のないフレームであることを確認したスイッチング・ハブは、そのフレームを再度暗号化して送信先の通信機器へ送ります。

そして、最後に受信した通信機器により、再度復元されたフレームを検証することになります。

さらに、ネットワーク上を流れているフレームから、MACアドレスの情報を確認した者が、悪意をもって偽物のフレームを送信するような場合に備えて、フレーム毎に、MACアドレスに固有のIDを追加しています。

 

もしも、全く同じIDの記入されているフレームが届いた時には、別のフレームのMACアドレスの情報をコピーした虚偽のものであると判断することが可能です。

また、フレームを受けとる間隔を設定することにより、不自然に遅滞して到着したフレームは、その中身に関係なく受取を拒否することが可能です。

 

IEEE 802.1AEの今後

同じスイッチング・ハブに接続された通信端末などの間でのセキュリティ対策となるこのプロトコルは、インターネットを越えた相手の通信端末との間のセキュリティ対策には使用することができません。

しかし、一定の狭い範囲に限定されたネットワークにとっては、大変有効なセキュリティ対策と言えます。

使用する通信機器と、通信端末の両方が、このプロトコルに対応している必要がありますので、一般的には、少し先に実現することができるセキュリティ対策となりそうです(一部のメーカーが対応を開始した段階です。)。

 

業務用で使用するタイプの通信機器では、いくつか対応した製品が販売されています。

おそらく、これから販売されるパソコンなどの機器に少しずつこのプロトコルに対応した通信機器が搭載されると思われます。